'Sony-cd's installeren onzichtbare software'

Dinsdag 1 november 2005, 13:13 - Sony installeert een rootkit zodra een drm-beveiligde cd in een pc wordt gestopt. Hiermee wordt zonder medeweten van de gebruiker software geïnstalleerd.

Dat stelt althans Mark Russinovich van Sysinternals. Bij wijze van test installeerde hij Rootkit Revealer-software die naar dergelijke software op zoek gaat. Tot zijn ontsteltenis ontdekte hij een rootkit op zijn pc. Rootkits zijn een verzameling programma's waarmee bestanden, directories, registersleutels en software ongezien kunnen worden geïnstalleerd. Hackers gebruiken dergelijke software om toegang te krijgen tot het systeem en vervolgens gebruikersnamen en wachtwoorden te achterhalen.

De scan door Russinovich leverde een verborgen directory, diverse drivers en een verborgen applicatie op. Hierop begon de beveiligingsexpert verder te graven. Hij stuitte hierbij op een driver genaamd Aries.sys. Tevens ontdekte hij de verborgen directory: WindowsSystem32$sys$filesystem. De rootkit-software blijkt alle registersleutels of procesnamen die beginnen met '$sys$' te verbergen.

Russinovich krijgt het voor elkaar om de verborgen elementen zichtbaar te maken. Een onderdeel van deze elementen zijn de zogeheten 'Essential System Tools' van een bedrijf genaamd First 4 Internet. Dit bedrijf is gespecialiseerd in het beschermen van content. De beveiligingsexpert is met Google gaan zoeken naar artikelen omtrent dit bedrijf en stuitte op een artikel van CNet waarin Sony aankondigt content te gaan beschermen met behulp van de software van First 4 Internet.

'Get Right with the Man'

Het artikel zette Russinovich aan het denken. Recentelijk heeft hij namelijk de cd Get Right with the Man van Van Zant aangeschaft. Deze cd is middels drm beveiligd en kan tot driemaal gekopieerd worden. Om te checken of zijn vermoedens juist zijn, heeft hij de audio-cd in zijn pc gestopt en de daarop aanwezige software opgestart. Vervolgens is hij de lopende processen gaan analyseren.

Een voorheen onzichtbaar bestand belast zijn processor: $sys$drmserver.exe. Deze wordt actief zodra de cd afgespeeld wordt. De beschrijving van dit proces is 'Plug and Play Device Manager'. Volgens Russinovich is het proces zo genoemd om gebruikers te misleiden die het proces per toeval tegenkomen.

Tot zijn verbazing blijft $sys$drmserver.exe actief na het afsluiten van de afspeelsoftware. Uit nader onderzoek blijkt dat de software onderdelen van het systeem scant en dat de rootkit wel degelijk van de beveiligde Sony-cd afkomstig is.